L’entrée en application du Règlement général sur la protection des données (ci-après indifféremment désigné « RGPD » ou « Règlement ») [1] le 25 mai 2018 conduit à l’évolution du cadre juridique de la protection des données à caractère personnel. Elle emporte également un changement significatif de culture en la matière, la responsabilisation des acteurs étant au cœur du nouveau dispositif. Cette responsabilisation passe notamment par la mise en place d’analyses d’impact pour certains des traitements de données à caractère personnel mis en œuvre, la documentation interne de la conformité de ces traitements mais aussi, plus généralement, par la nécessité d’instaurer une véritable gouvernance de la conformité en matière de protection des données à caractère personnel.
Le Règlement place au cœur de cette gouvernance un acteur clé : le Délégué à la protection des données (DPO) [2]. Véritable chef d’orchestre de la conformité, le DPO bénéficie par définition d’une vision transversale des activités de l’entité qui l’a désignée. Ayant une mission à la fois de conseil et de contrôle, il n’est cependant pas décisionnaire des modalités de mise en œuvre d’un traitement. In fine, en cas de manquement au RGPD, c’est bien le responsable du traitement ou le sous-traitant, personne morale, pris en la personne de son représentant légal, qui sera susceptible d’être sanctionné par l’autorité de contrôle. Le Règlement ne prévoit en effet aucune sanction à l’encontre du DPO en cas de manquement constaté au sein de l’entité qui l’a désignée.
Dans l’attente de l’entrée en application du RGPD, les entités publiques et privées – qu’elles soient ou non soumises à l’obligation de désigner un DPO en application du RGPD [3] – doivent se préparer. Pour cela, elles entameront – ou, pour certaines, poursuivront – leur processus de mise en conformité. Étant précisé que ce dernier se poursuivra bien au-delà du 25 mai 2018, la conformité ayant vocation à être intégrée à toutes les étapes d’un projet impliquant la mise en œuvre ou la modification d’un traitement de données à caractère personnel.
Au cours de cette période transitoire, les entités doivent identifier le ou les acteur(s) clé(s) sur le(s)quel(s) s’appuyer afin d’amorcer les évolutions nécessaires de leur dispositif de conformité. De ce point de vue, les entités disposant d’ores et déjà d’un Correspondant informatique et libertés (CIL) ou de tout autre acteur dédié à la conformité en matière de protection des données à caractère personnel, ont nécessairement un temps d’avance.
À ce titre, le CIL (ou la personne assumant ses fonctions), auquel la fonction de DPO succédera, reste l’acteur légitime de la transition. En outre, les entités auront tout intérêt à capitaliser sur les outils qu’il aura contribué à mettre en place au sein de son organisme.
Le CIL : l’acteur légitime de la transition vers le RGPD
En France, les entités publiques et privées peuvent, depuis 2005, désigner auprès de la Commission nationale de l’informatique et des libertés (Cnil), un Correspondant à la protection des données, plus connu sous l’appellation « CIL ».
Cet acteur de la protection des données a fait son entrée dans le paysage français de la protection des données à la faveur de la transposition de la directive 95/46/CE du 24 octobre 1995. Le décret d’application de la loi n° 78-17 du 6 janvier 1978 [4] encadre juridiquement la désignation du CIL, ses missions et les modalités pour mettre un terme ses fonctions.
Si le DPO devient dans certains cas obligatoire, ce n’est pas le cas du CIL, dont la désignation est toujours facultative, tant pour les entités publiques que privées. Dès lors, certaines entités se sont abstenues de désigner officiellement un CIL auprès de la Cnil, tout en confiant à un collaborateur dédié, clairement identifié, certaines missions ayant trait à cette fonction (cartographie et analyse des traitements, mise en œuvre de contrôles des traitements, sensibilisations et accompagnement des demandes d’autorisation auprès de l’autorité de contrôle le cas échéant, etc.). Il a ainsi pu être fait référence à ce collaborateur comme « le faisant fonction de » CIL.
Le CIL – ou le faisant fonction – a pour mission principale de veiller au respect de la réglementation applicable en matière de protection des données à caractère personnel. Dans cette perspective, les CIL et/ou les faisant fonction ont pu – en fonction des ressources qui leur ont été attribuées – d’ores et déjà instaurer un cadre, plus ou moins formalisé, visant à garantir la conformité de leur entité à cette réglementation. Ce cadre peut être constitué d’un ensemble de mesures diverses, à l’instar d’une procédure interne tendant à vérifier la conformité des traitements avant leur mise en œuvre ainsi qu’à tenir une liste à jour des traitements, une politique interne de protection des données ou encore un mode opératoire précis pour le traitement des demandes des personnes concernées.
Aussi, toute entité publique ou privée ayant entamé un processus d’intégration des exigences du RGPD pourra utilement capitaliser sur ces mesures. En effet, le Règlement n’a pas vocation à imposer aux entités traitant des données à caractère personnel, à quelque titre que ce soit (qu’elles agissent en qualité de responsable du traitement, de sous-traitant ou de responsables conjoints), de faire « table rase » de leur conformité existante en matière de protection des données, mais bien de faire évoluer ce dispositif vers un « niveau élevé ».
Au-delà des mesures qu’il a mises en place ou auxquelles il a contribué et sur lesquelles nous reviendrons, il importe de capitaliser sur les connaissances acquises par le CIL dans le cadre de l’exercice de ses missions. Outre une connaissance des principes fondamentaux de la protection des données à caractère personnel, lesquels perdurent avec le RGPD, le CIL dispose d’une connaissance précieuse du domaine d’activité, des processus et de la culture interne de l’entité qui l’a désignée.
La période transitoire offre donc aux CIL une occasion d’exploiter et de valoriser leur travail et leurs compétences.
Pour les entreprises ne disposant pas aujourd’hui de CIL ni de collaborateur faisant fonction, identifier et impliquer dès à présent le futur DPO constitue une des actions prioritaires dans le processus de mise en conformité avec le Règlement.
Le statut de DPO n’existe techniquement pas encore : toute désignation en tant que telle ne prendra effet qu’à compter du 25 mai prochain. Aussi, toute identification officielle et juridique passe encore, à ce jour, par le statut de CIL, véritable maître d’œuvre de la transition.
Savoir capitaliser sur les outils de conformité existants
Dans le cadre de la période transitoire, les entités ont tout intérêt à capitaliser et à s’appuyer sur les outils déjà en place en leur sein.
Cette capitalisation s’illustre lors de la phase d’audit des traitements de données à caractère personnel. Le registre élaboré et tenu par le CIL peut être mis à profit afin d’analyser la conformité des traitements qui y sont portés et d’établir un plan d’actions en vue d’une mise en conformité avec le RGPD. Alternativement, ce registre peut aussi être utilisé comme point de comparaison, une fois la cartographie des traitements réalisée, afin d’identifier les écarts entre les traitements de données à caractère personnel portés à la connaissance du CIL et ceux effectivement mis en œuvre.
Par ailleurs, l’organisation interne en matière de protection des données mise en œuvre par le CIL, adaptée à la taille et aux besoins de son entité, peut être valorisée. Ainsi, les réseaux, qualifiés souvent de « réseaux informatiques et libertés » (RIL) et constitués de personnes relais identifiées dans les différentes directions, pourront prendre une part active dans les audits et actions de mise en conformité. Ce réseau sera à même d’accompagner ensuite efficacement les directions métiers lors du suivi du plan d’actions arrêté. Ils exercent enfin un rôle clé dans la sensibilisation des collaborateurs amenés à traiter des données à caractère personnel.
Les procédures d’analyse des traitements de données à caractère personnel déjà en œuvre peuvent aussi être utilisées en les adaptant aux exigences du RGPD. À titre d’illustration, dans certaines entités, les échanges avec le CIL sont formalisés au moyen d’une fiche de recueil d’informations, mise à disposition des équipes métiers. C’est alors à partir des informations recueillies dans le cadre de cette fiche que le CIL formule une première analyse du traitement. Dans la perspective du Règlement, il conviendra de faire évoluer les éléments recueillis dans cette fiche afin d’y faire figurer les éléments permettant au futur DPO d’analyser la conformité au regard du nouveau cadre européen et de déterminer en particulier si une analyse d’impact doit être réalisée. Cette évolution du contenu des supports d’information s’accompagnera également d’une modification et, sans nul doute, d’une formalisation renforcée des modalités d’échanges en internes entre le futur DPO et les équipes métiers, dans la perspective du principe de responsabilisation (« accountability ») auxquels les organismes seront soumis.
Plus généralement, les procédures et guides élaborés à l’initiative ou avec la participation du CIL serviront de fond documentaire à la mise en conformité au Règlement général sur la protection des données. Ces procédures et guides peuvent avoir trait notamment aux traitements dans la sphère des ressources humaines, à l’information et à la gestion du consentement des clients et des prospects, à la politique de protection des données internes ou à destination du public, etc.
Il en va de même de la politique contractuelle en matière de protection des données à caractère personnel définie par le CIL ou en collaboration avec ce dernier. Les différentes clauses élaborées constituent un socle pertinent, qu’il conviendra de faire évoluer pour intégrer l’hypothèse de la responsabilité conjointe ainsi que les exigences nouvelles du Règlement général sur la protection des données (notamment la description détaillée des instructions afférentes au traitement confié au sous-traitant).
En conclusion, dans la mesure où le Règlement général sur la protection des données maintient les principes fondamentaux de la protection des données que nous connaissions déjà à l’ère de la directive 95/46/CE du 24 octobre 1995, les entités ayant désigné un CIL ou disposant d’un acteur dédié faisant fonction de CIL doivent s’inscrire dans une continuité certaine et s’appuyer sur le travail réalisé par ce dernier dans leurs actions de mise en conformité avec le RGPD.